1.检查浏览器快捷方式属性。如下图,确认没有网址尾巴。
2.用Registry Workshop搜索注册表,查找流氓主页(主页有时候可能有跳转,搜索跳转前的网址)。找到后改成自己的主页。太多的话,可以选择搜索结果,导出为reg。然后复制reg副本,记事本打开reg文件,查找网址,替换为自己的网址,保存后双击导入注册表。出问题再双击导入副本。
3.如果是IE主页无法更改。可能是组策略上做了限制,参考百度搜索“IE主页无法修改”,或者用360卫士等软件的系统修复功能修复浏览器,这里就不细说了。
4.浏览器组件被篡改或劫持。第三方浏览器可以右击快捷方式打开浏览器目录,然后控制面板卸载,卸载完检查浏览器目录是否删除干净,删除干净了,再重装。IE可以参考3.。
5.参考百度搜索“wmitool解决浏览器主页劫持”。
6.autoruns和pchunter等工具检查启动项。根据文件名、路径、厂商判断启动项所属软件,排除系统自带的和自己认识的软件的启动项。剩下的启动项百度搜索文件名或厂商名字来判断是否病毒。无法确认的可以上传virustotal等网站在线扫描。
7.如果浏览器主页设置正常,没有网址尾巴,主页相关注册表项也正常,依旧劫持主页。可能是命令行参数做了手脚。任务管理器设置了显示命令行后,可以看到浏览器启动参数。
win7是查看选择列里勾选,win10是右击栏目后设置。或者可以用process explorer查看进程属性,可以看到命令行参数。
以可以用Process Hacker 2软件找到浏览器进程,然后点击右键,在弹出的菜单中点击属性,可以看到命令行(command line)里面的程序地址后面是否跟有拦截的url
8.尝试用cmd或任务管理器来打开浏览器,如果不劫持,可能是explorer.exe的加载项有问题。
用pchunter查看explorer.exe的进程模块,按文件厂商排列,查看非Microsoft的dll模块。
在autoruns资源管理器里,取消勾选对应的模块,或者筛选器填文件名来筛选。
取消勾选后再任务管理器结束explorer.exe进程,新建任务explorer.exe。没问题了再把正常的项勾选回来。
找不到的话,可以Registry Workshop搜索文件路径,导出备份后删除对应的项,然后重启explorer。
又或者用regsvr32 /u dll路径来卸载com组件,保存自己的卸载命令,找到问题后,再regsvr32 dll路径注册回来,可能也需要重启explorer。
9.除去explorer.exe的加载项有问题,还可能是病毒劫持了explorer.exe。比如修改explorer.exe内存创建新进程的代码,转去执行病毒代码,发现新进程是浏览器进程时,就加流氓主页参数运行。或者劫持全局创建新进程的代码,看新进程是否浏览器进程,父进程是否桌面explorer.exe,是就加流氓主页参数运行。
这种情况,可以尝试改浏览器名称,如果该名字后正常,说明电脑有广告木马。
可以使用火绒或360卫士的快速扫描,扫描不到的话可能是rookit木马,用火绒专杀或360急救箱强力查杀。360的都需要联网云查杀。
10.在9的情况下,扫描不到,说明病毒比较新,或者病毒自我保护比较强。需要自己去发现木马。
参考办法,下载微PE,重启进入微PE,复制windows\system32\drivers目录到D盘,还有windows\system32\config\system到D盘。
重启进入正常系统,用杀毒软件扫描D盘的drivers。或者自己打开drivers判断,注意那些没有后缀的驱动文件,如976e474f5e这种,很可能是病毒,上传virustotal扫描。或者进PE里备份该文件后,删除,如果正常了,说明是病毒,如果系统出问题了,在进PE还原文件。发现木马删除不掉时,也可以PE里删除。
还可以在drivers文件夹内部,右击空白处,分组依据,更多,勾选版权(很多项目按拼音首字母排列,很容易找到版权),然后按版权排列,忽略那些microsoft和自己认识的,只关注不认识的,一一百度。
如果病毒驱动不在drivers,上面方法可能落空,需要自己打开注册表,选中HKEY_LOCAL_MACHINE,点左上角文件,加载配置单元,找到d盘的system文件打开,重命名为system1,展开HKEY_LOCAL_MACHINE\system1\ControlSet001\services,查看所有项,需要有一定手杀功底才能从中揪出病毒,可以网上求助。简单判断方法是,项目名字是无规则的字母数字的比较可疑,ImagePath路径不在drivers目录的可疑,后缀不是.sys的可疑。然后根据路径,进PE里,先备份后删除,出问题再还原。
以上就是目前收集的浏览器劫持的解决办法。
我在2019年5月8日就中了一个UFVoHX.sys的,在drivers目录下,杀毒软件弄了个遍都没找到,后来还是用Process Hacker 2分析浏览器启动参数,再用PCHunter找DLL和驱动文件找到的,但是UFVoHX.sys文件显示厂家未NULL,怀疑就备份删除了,删除后发现就没有拦截了!
特别说明,本文来源于百度贴吧(https://tieba.baidu.com/p/5990288003?red_tag=2772692187)